普華永道李睿：數據安全和隱私合規必須滿足監管要求，但這不是企業的唯一收獲

中國經濟導報、中國發展網 記者崔立勇報道

“數據安全和隱私合規是跨部門、跨條線的任務，必須成為企業的‘一把手工程’。”在2022年服貿會現場，普華永道中國網絡安全和隱私服務中國內地主管合伙人李睿在接受本報記者專訪時表示，與以往網絡安全或服務器安全任務常?？梢越唤o企業內部的IT部門不同，數據安全和隱私合規與企業各項工作關系密切，需要企業負責人牽頭，建立信息安全委員會等組織形式，齊抓共管方能確保安全。

普華永道中國網絡安全和隱私服務中國內地主管合伙人李睿 

普華永道在今年的服貿會上推出隱私合規運營中臺（Privacy Operation Hub），為跨國出海企業提供面向全球隱私法規、全生命周期的數字化合規管理平臺。李睿告訴本報記者，這一中臺的應用需要“三步走”。前期是對企業的數據流進行梳理，分析數據應用的業務場景，在此基礎上制定相應的規則。中期是中臺的落地，進行數據安全和隱私合規的知識轉移，幫助企業順暢應用中臺，為企業和監管機構實現隱私數據處理全鏈路管控和證據鏈。最后是使用中臺，普華永道會根據新的法律法規及優秀實踐案例進行及時更新，特別是監測企業數據泄露的出現或可能存在的風險，幫助企業落實監管需求。

李睿表示，不同行業的數據資產的結構和內容區別很大，因此隱私合規需要定制化服務，只有結合企業工作實際、企業全員參與的解決方案才能達到預期。

在全球化背景下，中國的數據出境已呈現常態化趨勢。9月1日，《數據出境安全評估辦法》正式施行，標志著《網絡安全法》首次確立的數據出境安全評估制度正式落地。根據辦法，數據處理者向境外提供數據，符合規定情形的，應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估。數據處理者在申報數據出境安全評估前，應當開展數據出境風險自評估。數據出境風險自評估是數據處理者申報數據出境評估的必要條件，由數據處理者自行或者委托第三方機構開展。

據不完全統計，全球已有132個國家和地區制定了個人信息保護的法律。在中國，截至7月底，2022上半年全國因違反個人信息保護相關規定被監管部門通報批評、處罰的案例高達741例，處罰金額超過80.69億元人民幣。歐盟《一般數據保護條例》（GDPR）在正式實施的近三年時間內，歐盟國家被處罰案例共計1195起，金額合計超過16億歐元。由此可見，無論出海企業或專注國內業務發展的企業均面臨嚴峻的隱私及數據合規壓力。

如今，企業一方面在隱私及數據合規領域正投入大量資源，另一方面也在主動通過數字化智能化手段積極應變。

李睿分析，數據安全的管理風險可能在多個場景出現——跨境支付等受到行業監管的重點領域；智能汽車、智慧家居等利用互聯網的新產品，難以明確是否在跨境使用；新技術及數字化應用帶來的數據跨境風險，企業在國內使用云服務，但是供應商存儲數據的服務器可能設置在其他國家。

‍她特別提醒，企業不能忽略海外分支機構及其在海外工作的員工所帶來的數據風險隱患。“不少企業認為，在海外工作的員工是企業內部的同事，就不需要采取什么數據安全保護措施了。其實，數據安全和隱私保護，不區分是企業內部還是外部。”她說，企業員工到海外工作，出境時所攜帶的電腦是不是存有敏感數據，員工相互之間所發送的電子郵件是否確定存放在國內的服務器上，這些都是值得留意的風險場景。

隱私保護如何與數據共享避免沖突？李睿告訴本報記者，企業的數據共享要遵循三個原則。

首先，注意收斂。“普華永道完成了很多項目，最大的感覺是企業習慣于收集過多的數據，收的總比自己需要的多。”李睿分析說，企業的這種行為往往導致企業拿到大量垃圾數據，自己也沒有辦法實現高效率共享。其次，梳理不同的安全域的共享。企業要將敏感崗位的數據共享、企業內部跨部門的數據共享、外部企業間的數據共享進行有針對性的分析，確定不同的把控標準。第三，發揮隱私計算和聯邦學習等前沿技術的作用。記者了解到，這些技術能夠在處理和分析計算數據的過程中保持數據不透明、不泄露、無法被計算方法以及其他非授權方獲??；當多個參與方共同參與整個計算過程時，也難以得到除計算結果以外的額外信息。

李睿強調，隱私和數據合規是企業必須滿足的法律和行業監管要求，與此同時，這項工作也是企業建立信任的過程，向客戶特別是C端用戶證明自身管理的數據安全可靠。她說，數據安全穩定，特別是能夠通過實實在在的舉措向用戶“表達”出來，企業的競爭力將獲得加持；一旦暴露出數據泄露問題，用戶的信任感將急劇下降。

李睿告訴本報記者，如今很多大型國際化企業都將負責數據安全和隱私保護的部門命名為“用戶信任中心”，這也說明這項工作的功能和目標之一是向用戶證明企業是值得信賴的。